FCIS 2023 红蓝背景下的云原生安全实践-杨宁-share.pdf

《FCIS 2023 红蓝背景下的云原生安全实践-杨宁-share.pdf》由会员分享，可在线阅读，更多相关《FCIS 2023 红蓝背景下的云原生安全实践-杨宁-share.pdf（17页珍藏版）》请在三个皮匠报告上搜索。

1、红蓝背景下的云原生安全实践新东方教育科技集团杨宁安全的本质-持续的攻防对抗01云原生安全风险及防护02红蓝实战中的入侵检测和响应03持续改进的方向-数据安全04杨宁：新东方教育科技集团信息安全负责人，15+年信息安全从业经验，曾作为研究员及信息安全负责人就职联想研究院、新奥集团、龙湖集团。专注于企业信息安全管理体系和技术能力建设，致力于数字化安全运营。ISC2信息系统安全专家(CISSP)ISACA信息系统审计师（CISA）Webmaster网络安全分析师（CIW）ISO27001主任审核员中安国发信息技术研究院安全研究专家安全牛网络安全与数字风险专家委员会专家委员新东方教育科技集团，由199

2、3年11月16日成立的北京新东方学校发展壮大而来，目前集团以语言培训为核心，拥有短期培训系统、基础教育系统、文化传播系统、科技产业系统、咨询服务系统等多个发展平台，是一家集教育培训、教育产品研发、教育服务等于一体的大型综合性教育科技集团。新东方教育科技集团于2006年9月7日在美国纽约证券交易所成功上市，成为中国大陆首家海外上市的教育培训机构。新东方信息安全建设历程2014-15事件驱动事件驱动2016-17风险驱动风险驱动2018-20数据驱动数据驱动 漏洞平台通报 网安事件通报 内部安全事件 网络DDoS攻击风险 主机勒索病毒风险 应用攻击入侵风险 数据泄露安全风险 监控告警数据 漏洞检测

3、数据 系统审计数据 用户行为数据 威胁情报数据防护能力建设运营能力建设团队能力建设2021-23攻防驱动攻防驱动 被动参与攻防演练 主动组织红蓝对抗 持续威胁发现 持续能力完善 持续运营提升持续完善优化安全的本质持续的攻防对抗80%敌方力量20%我方力量攻击武器病毒、蠕虫、木马、后门、DDoS、爆破、撞库、社会工程。攻击组织国家组织ATP/黑客团伙竞争对手小黑/小白内部恶意人员攻击时间7X24X60X60（工具+人）攻击范围任何存在漏洞/弱点的攻击点防御系统防火墙、防病毒、NIPS、HIDS、NTA、EDR、DAM、DDM、加解密、SOC、SOAR、AI防御人员通常1-10人团队规模防御时间7

4、*16（人）7*24（系统）防御范围网络、主机、应用、数据、终端、账号、人。需要面面俱到在特定资源条件下（成本），在持续攻防对抗过程中，平衡用户体验和效率（效率），最大程度保护企业业务及资产不受损害（安全）。安全目标检验企业安全水位，充分挖掘风险检测安全防护能力，应急响应能力驱动企业安全建设，持续改进优化红蓝对抗的价值云原生及云原生安全Cloud Native云原生技术有利于各组织在公有云、私有云和混合云等新型动态环境中，构建和运行可弹性扩展的应用。云原生的代表技术包括容器、服务网格、微服务、不可变基础设施和声明式API。CNCF云原生安全云原生安全是对于云原生环境的安全保护。云原生环境包含了

5、云原生基础设施、云原生应用生命周期和运行环境。生命周期涉及到技术、实践和流程。云原生安全防护云原生环境面临的安全风险容器环境面临的安全攻击风险针对容器环境的MITRE ATT&CK攻击矩阵应用漏洞RCE漏洞执行拉起后门容器特权容器删除攻击日志获取配置文件APIServer南北向访问可用性破坏凭据泄露运维脚本下发容器后门进程特权账户主机创建容器获取SecretKubelet API东西向访问机密性破坏主机失陷容器命令执行主机植入后门容器逃逸创建仿冒资源模拟应用请求计算资源利用常见的针对容器攻击方式云原生应用安全防护传统的应用安全方案已难以在云原生环境下对业务应用提供完善保护，需要在云原生环境中嵌

6、入对应用的安全内生防护。CNAPP是一套用于帮助保障和保护跨开发和生产云原生应用的集成安全和合规功能。集成了多个云原生安全工具和数据源，包括容器扫描、云安全态势管理、基础设施即代码扫描、云基础设施授权管理和运行时云工作负载保护平台。生命周期防护：DevSecOps构件扫描检测：SAST、DAST、API、SCA，暴露面检测云配置安全：网络安全、基础设施安全、K8S安全、数据安全运行时保护：WEB应用、API、工作负载、网络，暴露面防护DevSecOps 安全能力集成云原生容器安全防护红蓝对抗中针对云原生环境的攻击路